记录一次被攻击勒索(redis“未授权访问”漏洞)



背景

话说,我开了一台腾讯云服务器跑redis-server,并将其配置为无须密码对外开放,方便我本地调试代码。
今天下午却意外发现云主机被关机了,上午我还用来调试代码呢,重新开机并登陆查看系统日志发现有个俄罗斯的IP地址登陆了系统并关闭了我的redis-server且关机。系统日志如下:

#/var/log/auth.log:
Dec  9 14:41:32 localhost sshd[25235]: Accepted publickey for root from 185.153.198.57 port 36148 ssh2: RSA SHA256:SdMM2Kh/nCGqWmXuFENkv7FV1ED4sXqlohMIfGmXLl8

#/var/log/syslog:
Dec  9 14:41:32 localhost systemd[1]: Started Session 58722 of user root.
Dec  9 14:41:35 localhost systemd[1]: session-33891.scope: Killing process 12706 (redis-server) with signal SIGTERM.
Dec  9 14:41:35 localhost systemd[1]: Stopping Session 33891 of user root.
Dec  9 14:41:35 localhost systemd[1]: Stopping User Manager for UID 0...
Dec  9 14:41:35 localhost systemd[1]: Stopped target Graphical Interface.
Dec  9 14:41:35 localhost systemd[1]: Stopped target Multi-User System.

提交工单

本着以玩一玩的状态搜索了一下,并以试一试的心态向腾讯云提交了安全工单,没想到腾讯云的工程师还是很敬业的。

您好, 服务器上部署的业务应用安全这边无法为您保证安全,建议您从如下方面排查:
1、排查redis是否存在“未授权访问”漏洞:
https://security.tencent.com/index.php/blog/msg/106
2、请您做好如下服务器上如下方面的防护,排查:
https://cloud.tencent.com/document/product/296/9604

攻击过程

首先是黑客通过reids未授权访问漏洞,将自己的公钥注入到/root/.ssh/authorized_keys,然后以ssh方式登陆就实现了getShell(取得权限),之后想干啥就干啥了嘛。从系统日志里可以看到,从登陆到关机只用了3秒,应该是跑脚本。我还发现一个勒索文件/root/READ_ME.txt,原文如下:

Hi, please view here: https://privatebin.net/?164d29ebef7cb0db#B0S90pWwdsGUS3H3+NAEjWfHVO9S2DmJq6BVPTasWTU= for information on how to obtain your files!

打开网址一看,说他已经转移了我的文件,只有交了0.1个比特币并发邮件告诉他其它详细信息才会归还我的资料。(心中一万个草泥马奔过,如果我公司的数据库因此丢失且没法恢复,我估计要跑路了,毕竟被偷走的东西给再多的钱不可能还回来的,时值比特币一个月内狂涨十倍价值十万元一枚……)我表面毫无波动,甚至在内心觉得可笑,这服务器什么重要的资料都没有。。。

教训

我一定会听话地学习安全排查,数据库的东西必须每天备份转移。